Depende realmente de quanto você confia neles.
Opção 1 - Continue fazendo você mesmo
Se você não confia neles, não lhes dê nenhum acesso ... mas, na verdade, eles controlam seu firewall, então você deve confiar neles pelo menos um pouco. Ainda assim, nada mais será tão seguro quanto não lhes dar acesso como todos.
Opção 2: fornecer uma conta muito limitada
Se você confiar neles para não fazer nada malicioso (mas não confie neles para não fazer nada STUPID), dê a eles um shell chrooted que tenha ping e traceroute copiados para ele, no qual eles podem executar SSH e executar testes. Dependendo de quão bem você configurar isso, pode ser em qualquer lugar de cheeze suíço para bastante seguro. Mas mesmo que isso não seja impenetrável, isso os impede de causar qualquer dano acidentalmente. (Estou assumindo o linux aqui desde que você mencionou o SSH ... as janelas não têm um equivalente muito bom, tanto quanto eu sei).
Isso é bastante fácil de configurar, mas requer que a equipe de rede faça o login e execute os próprios comandos.
Opção 3 - traceroute baseado na Web
Como você mencionou que fazer login no servidor pode ter problemas sociais / políticos, outra opção pode ser configurar um site muito simples (ou uma pasta em um site existente, se forem servidores da Web) que tenha uma página que será executada traceroute e ping (e nada mais). Algo como o link , mas executado a partir do seu próprio servidor. Você pode restringi-lo a um determinado intervalo de endereços IP de origem ou exigir um nome de usuário / senha para acessar a página, se necessário.
Se você optar por esse método, poderá encontrar alguns scripts existentes úteis pesquisando algo como "traceroute php baseado na web", ou poderá escrever o seu próprio, desde que tenha cuidado com a saída adequada do usuário.
Isto será mais simples e rápido para eles, e lhes dará muito pouco mais acesso do que o que eles já possuem, controlando a rede.
Você pode até prepará-lo para eles com antecedência - se quiser permitir o tráfego de saída do seu servidor example.com para 192.168.55.100, você pode enviar um ticket como:
Please change the firewall to allow us to connect to 192.168.55.100. Can you please check that it works by clicking this link and checking that we can ping it? http://example.com/networktools/ping.php?ip=192.168.55.100
Dependendo do nível de confiança, você também pode incluir ferramentas como o nmap para que elas possam verificar se as portas estão acessíveis.